インシデントレスポンスとは何か――自動車事故に置き換えて考える：セキュリティ事故の被害を回避するインシデントレスポンス（3/3 ページ）

[吉澤亨史，ITmedia]

復旧と報告

　自動車事故の場合、道路交通法などによる罰則があるかもしれませんが、現場検証が終われば自動車を修理できます。また、警察と保険会社の判断から事故の責任割合が算出され、損害賠償などが行われます。ただし、自動車は修理できても、事故車であるという記録は残ります。この記録により、その自動車を売却したり下取りに出す場合の価格が下がる可能性があります。

　また、仮に会社の商用車で事故を起こしてしまった場合には、上長などへの報告も必要になります。自動車に会社名やロゴなどが入っていた場合には、事故を見た人たちに「○○会社の車が事故を起こしている」と言われてしまうことも覚悟しなければなりません。

　セキュリティインシデントでは、分析と検証の結果から原因を突き止め、封じ込めや原状復旧を行います。さらに、再発防止策としてセキュリティ対策の強化などを行い、問題がなければ従来通りの業務を再開できます。またCSIRTは、復旧までに要した時間や労力なども記録したレポートを作成します。

　そして、インシデントの内容によっては損害賠償や対外的な発表も必要になります。例えば、個人情報が漏えいしてしまった場合には、その内容により賠償責任が発生しますし、社会的に影響の大きいインシデントでは記者会見も必要になるでしょう。その一方で組織には、インシデント発生によるサービス停止での機会損失や、風評被害、ブランドの失墜といった影響もあります。

---

　自動車事故の対応とセキュリティインシデントではやや異なる部分もあるでしょう。何よりも大事なことは平時からのセキュリティ対策になりますが、万一の有事が起こり得るものである以上、その場合の対処法についても人員や体制、作業や流れを考えておくべきといえます。その中心となるCSIRTをいきなり編成することは、企業によっては難しい場合がありますが、小規模企業でもインシデント発生時のマニュアルを作成していくことなどは、非常に大切な取り組みです。